Mehr Sicherheit durch Netzwerksegmentierung mit Zero Trust Elementen

Nach meiner Unternehmensgründung im Mai habe ich nach kleinen Aufträgen das erste etwas größere Projekt in einer Arztpraxis in Stuttgart abgeschlossen.

Das Ziel

Die Aufgabe war die Erarbeitung eines Sicherheits- und Backupkonzepts um den Zugriff auf die Unternehmensdaten bestmöglich zu schützen und diese bei einem eventuellen Verlust schnell wiederherstellen zu können. Die Arbeitsfähigkeit der Praxis soll nach einem hoffentlich nie eintretenden Datenunfall in kurzer Zeit wieder hergestellt werden. Da Sicherheit in der IT aber kein Zustand, sondern ein Prozess ist, müssen durch ständige Analyse der Gefährdungslage bezogen auf Unternehmensprozesse und Anforderungen, die Konzepte ständig überdacht und weiterentwickelt werden. Mit Recht hat der Nutzer z.B. die Anforderung, dass das System ihn im Alltag nicht behindert, sondern bei der Arbeit unterstützt und entlastet. Diese Anforderung muss in Einklang mit der Forderung nach Sicherheit, Verfügbarkeit und Integrität gebracht werden. Einer der wichtigsten Eckpunkte eines jeden Sicherheitskonzepts ist die kontinuierliche Sensibilisierung der Nutzer darüber, dass das Nutzerverhalten seinen Beitrag zur Sicherheit eines IT Systems leistet. Dabei sind Unachtsamkeit, Nachlässigkeit und Unwissenheit vermehrt Ursache für entstehende Sicherheitsrisiken.

Die Daten

In einer Arztpraxis sind im Allgemeinen alle anfallenden und zu verarbeitenden Daten schützenswert, doch ein besonderes Augenmerk sind die Patientendaten, die bei der Registrierung, Abrechnung und Diagnostizierung anfallen.

Zero Trust für Kleinstunternehmen

Darüber hinaus können auch bei Klein- und Kleinstunternehmen einige Ansätze des Zero Trust Konzepts helfen, die Informationssicherheit, -Intigrität und -Verfügbarkeit zu verbessern. Natürlich werden hierzu keine dedizierten PDPs (Policy Decision Point) und PEPs (Policy Enforcement Point) betrieben, aber deren Aufgabe lassen sich häufig auch mit der richtigen Auswahl der zu verwendeten Dienste und deren Sicherheitsmechanismen kompensieren. Das schafft zwar ein dezentrales und inhomogenes Verwaltungssystem, aber da in der Regel, bei Klein- und Kleinstunternehmen, nur wenig Dienste am Wertschöpfungsprozess beteiligt sind, wirken sich diese Nachteile nicht ganz so gravierend wie in größeren Unternehmen aus. Die Anschaffungs- und Unterhaltskosten sind zudem für kleinere Unternehmen eher zu bewältigen als der Unterhalt einer ganzen IT-Abteilung. Dennoch sollten die verwendeten Sicherheitsmechanismen kontinuierlich auf Aktualität und Wirksamkeit im Rahmen des Sicherheitsprozesses überprüft und gegebenenfalls angepasst werden. Die Kernidee des Zero Trust ist, anders als beim Perimeteransatz, jedem Netzwerkverkehr unabhängig von seiner Herkunft zu misstrauen und stattdessen den sicheren Zugriff auf die verwendeten Dienste zu gewährleisten. Das macht es für Trojaner oder Ransomware extrem schwer nach dem eindringen in das Firmennetzwerk (z.B. durch Sicherheitslücken oder Unachtsamkeit) ihr Schadpotential voll zu entfalten. Dieser Ansatz erleichtert zudem die Integration und die sichere Verwendung von Cloud-Diensten um ein Vielfaches. Dieser Auftrag hatte nicht zum Ziel ein Zero-Trust Netzwerk aufzubauen, ich hab mich lediglich einiger ausgewählter Paradigmen bedient um die Eintrittswahrscheinlichkeit von Vorfällen mit hohem Schadpotential zu minimieren. Der Aufbau eines reinen effizienten Zero Trust Netzwerks ist eine komplexe Angelegenheit die gut geplant, umgesetzt und verwaltet werden muss, da sonst schwerwiegende Sicherheitsprobleme die Folge sein können.

Die Umsetzung

Die Netzwerktopologie

Die abzuleitende Maßnahme um den Basisschutz zu gewährleisten ist es, die, am Praxisbetrieb beteiligten Systeme, in einem eigenen Netzwerksegment zu verwalten und sicherzustellen, dass für die Nutzung der beteiligten Dienste, wenn möglich, eine Authentifizierung erfolgt. Das entstandene Netzwerksegement für die Praxis wird nur mit den nötigen Schnittstellen und Übergängen ausgestattet. Alle anderen Geräte sowie das private Heimnetz werden über separate Netzwerksegmente entkoppelt. Somit haben nur noch diejenigen Geräte auf die datenverarbeitenden Systeme Zugriff, die auch im Praxisbetrieb zum Verarbeiten der Daten benötigt werden.

Die Netzwerktopologie
Die Netzwerktopologie

Router-Kaskaden mit NAT

Die Segmentierung wurden auf Grund der Größe des Unternehmens (1 -2 Personen), dem reduziertem Umfang an Geräten und Diensten und der Anforderungen: einfache Verwaltung, einfache Konfiguration, einfache Wartbarkeit und Kosteneffizienz nicht mittels V-LAN sondern über Router-Kaskaden gelöst. Zur Netzwerksegmentierung kleiner Netze eignet sich aktuell z.B. eine Fritzbox 4040 sehr gut. Sie bietet mit dem original Fritz!OS jedoch nur einen NAT-Modus und kein echtes IP-Routing oder sonstige flexible Filtermöglichkeiten. Es ist zwar möglich das originale Fritz!OS durch OpenWRT zu ersetzen und damit die Funktionalität zu erhalten, aber insofern keine triftigen Gründe für das Ersetzen der Firmware des Herstellers sprechen, sollte aus Sicherheitsgründen die original Firmware für kritische Anwendungen beibehalten werden. In diesem Fall ließen sich die Anforderungen auch unter Verwendung des NAT-Modus und der eingeschränkten Filtermöglichkeiten realisieren. Im NAT-Modus werden die IP-Adressen aller IP-Pakete deren Ziel nicht das eigene Subnetz ist, während der Kommunikation nach außen durch die IP-Adresse des Router ersetzt. Der Router hält dabei eine List mit allen Anfragen nach außen vor, um bei einer entsprechenden Antwort diese an den Initiator im eigenen Subnetz weiterzuleiten. Diese Eigenschaft macht es Geräten außerhalb des eigenen Subnetzes unmöglich Verbindungen in dieses zu initiieren. Darüber hinaus verbergen NAT-Netzwerke die dahinterliegende Netzwerktopologie. Eine auf NAT basierende Router-Kaskade erlaubt es jedoch weiter innen liegenden Segmenten auf weiter außen liegende Segmente zuzugreifen. Diese Eigenschaft macht es möglich definierte Ressourcen (z.B. Drucker oder andere Dienste) in einem äußeren Segment zu zentralisieren und diese zwischen den weiter innen liegenden Segmenten zu teilen.

Router-Kaskade
Router-Kaskade

VPN Zugriff

Um den Zugriff auf das Praxissegment für die Arbeit von Unterwegs zu realisieren wurde ein OpenVPN-Gateway eingerichtet und über eine doppelte Port-Weiterleitung mit dem Internet verbunden. Ist man über VPN in einem inneren Subnetz eingeloggt, dann ist es auch möglich auf das äußere Shared-Segment zuzugreifen. Aus technischen Gründen kann der auf IPSec basierende VPN-Dienst einer Fritzbox nur an die Fritzbox eines inneren Segments weitergeleitet werden. Es ist also nicht möglich diesen Dienst parallel für verschiedene Subnetze nutzbar zu machen. Hat man jedoch per OpenVPN Zugang zu einem inneren Segment, und wurde im Vorfeld der VPN-Dient auf den Fritzboxen der anderen Segmente konfiguriert, dann können die Port-Weiterleitungen je nach Bedarf auf die anderen Segmente angepasst werden. So kann im Notfall z.B. auch auf das Heimnetz zugegriffen werden. Im Normalfall bleibt die Portweiterleitung des VPN-Dienstes ebenfalls auf das Praxissegment bestehen und bildet eine Backup-Lösung für den Fall, dass das OpenVPN-Gateway ausfällt.

  • Firmensegment mit OpenVPN-Gateway
  • Firmensegment mit OpenVPN-Gateway
    Firmensegment mit OpenVPN-Gateway
Firmensegment mit OpenVPN-Gateway

Backups – Das Fundament

Im Bezug auf das Anfertigen oder Vorhalten von Backups gibt es ein schönen Motto-Spruch

Kein Backup? Kein Mitleid!

Dieser direkte Ausruf führt direkt zum Kern des Themas. Das Anfertigen und Vorhalten von Backups bildet die Grundlage für die Verfügbarkeit von Ressourcen. Dabei spielt das Thema Backup nicht nur in der IT, sondern auch in anderen Lebenslagen für das erreichen von Zielen eine entscheidende Rolle. Jede Handlung ist auf ein in der Zukunft zu erreichendes Ziel ausgerichtet. Vor Beginn der Handlung wird der Verlauf bis zum erreichen des Ziels auf Grundlage der zu diesem Zeitpunkt verfügbaren Informationen prognostiziert. Doch die Zukunft wäre nicht die Zukunft, wenn sie immer vorhersehbar wäre. Aus diesem Grund werden Ziele in der Regel, z.B. durch die Möglichkeit einer alternativen Handlung oder einer Wiederholung der Handlung abgesichert. Wie erfolgreich dieses Vorgehen ist, ist entscheidend davon abhängig wie genau die Ausgangssituation wiederhergestellt werden kann. Übertragen auf die Informationstechnik bedeutet das, Backups möglichst häufig anzufertigen und aktuell zu halten um bei einem Datenverlust möglichst aktuelle Daten wiederherstellen zu können. Wie häufig Backups konkret angefertigt werden müssen, ist Teil der Backup-Strategie und hängt von verschiedenen Faktoren ab, die in Risikoszenarien analysiert werden. Abhängig von der Eintrittswahrscheinlichkeit eines Risikoszenarios und dessen Auswirkung sind Backup-Strategien häufig auch mehrstufig aufgebaut. Eine Backup-Strategie schließt darüber hinaus nicht nur Daten sondern auch Dienste und Geräte mit ein. In diesem Projekt wurde z.B. der VPN-Dienst durch die Konfiguration eines weiteren VPN-Dienstes abgesichert. Aber um den VPN-Dienst nach einem Ausfall Wiederherstellen zu können, müssen möglichst aktuelle Konfigurationsdaten, als auch die Gerätehardware, vorgehalten werden. Das finden der richtigen Backup-Strategie erfordert also die genaue Analyse von möglichen Risikoszenarien die zur Störung oder gar zum Erliegen des Geschäftsbetriebs führen. Andererseits kosten die Konfiguration, das Anfertigen, der Unterhalt und die Verwaltung von Backups Geld. Diesen Zielkonflikt muss jedes Unternehmen gemessen an seinen Möglichkeiten lösen. In diesem Projekt bildet der Einsatz eines NAS-Systems die Grundlage für das Anfertigen von täglichen Daten-Backups. Die Verwendung von virtuellen Maschinen für kritische Services und Dienste der Praxis, erleichtert zudem die schnelle Wiederherstellung dieser kritischen Resourcen auf nahezu beliebig verfügbarer HW. Um den Ausfall des NAS-Systems zu kompensieren, werden die Daten in einem weiteren Schritt Klassifiziert und besonders kritische Daten zusätzlich Ende-Zu-Ende verschlüsselt in der Cloud abgelegt.

NAS (network attached Storage)
NAS (Network Attached Storage)

Fremdgeräte Separieren

Grundsätzlich gilt Fremdgeräte von Freunden, Bekannten und Kollegen gehören nicht in interne Netzwerke. Es gibt in der Regel auch keinen Grund dafür. Es kann bei der Vielzahl an unterschiedlichen Geräten mit unterschiedlichen Softwarestand nicht ausgeschlossen werden, dass Geräte kompromittiert sind und diese im eigenen Netzwerk versuchen Schwachstellen von Diensten auszunutzen um auch diese zu kompromittieren. In der Regel wollen Besucher lediglich das Internet und keine internen Dienste Nutzen. Das gilt sowohl für das Heimnetz und in jedem Fall für das Firmennetz. Die heute gängigen Fritzboxmodelle bringen dafür den sogenannten Gästemodus mit. Dabei wird ein separates WLAN mit eigener SSID aufgespannt, dass ein eigenes unabhängiges Subnetz verwaltet. Das Subnetz wird so konfiguriert, dass die Geräte nicht untereinander kommunizieren können aber der Zugriff auf das Internet erlaubt ist. Somit können Besucher den Internetzugang nutzen, haben aber keinen Zugriff auf interne Subnetze.

Der Ablauf

Um den Praxisbetrieb nicht zu beeinträchtigen, wurde das Netzwerk und seine Komponenten nach der Planung, unabhängig von der Praxis in Betrieb genommen und getestet. Nachdem sichergestellt war, dass die geforderte Funktionalität bereitgestellt werden kann, wurde der Umbau des Praxisnetzwerks an einem Samstag außerhalb der Sprechzeit durchgeführt. Die benötigte Hardware wurde nach folgenden Kriterien ausgewählt.

  • Funktionalität / Abdeckung der Anwendungsfälle
  • Verfügbarkeit
  • Performance
  • breite Nutzerbasis
  • Kompatibilität
  • Sicherheitsupdates durch den Hersteller
  • einfache Bedienbarkeit
  • Kosteneffizienz
  • einfache, günstige und leicht zu ersetzende Hardware